S2Grupo, asesora de ciberseguridad de Pedro Sánchez, refuerza la tesis de espionaje ruso sostenido en España

• Valencia Business Forecast: Llácer (Ática) vaticina "un 15-M por la vivienda" y Rosell (S2Grupo) avisa: "La ciberguerra está aquí"
• Los operadores de telecomunicaciones alertan a la UE del gran impacto de las nuevas medidas de la Ley de Ciberseguridad

S2Grupo, compañía de referencia en Europa y Latinoamérica en ciberseguridad y una de las empresas elegidas por el Gobierno de Pedro Sánchez para abordar el rearme de España y el aumento de la inversión en defensa, ha hecho público un nuevo informe de su unidad LAB52 sobre EasterBunny, un implante que vincula a APT29, grupo “presuntamente vinculado al Servicio de Inteligencia Exterior de la Federación Rusa (SVR)”, y que la firma sitúa en el marco de una operación de ciberespionaje “particularmente avanzada” neutralizada en 2019.

En el documento, la compañía sostiene que “no debemos interpretar esta operación como un hecho aislado” y añade que “la inteligencia rusa (y antes soviética) ha tenido históricamente a España entre sus objetivos”.

El nuevo informe amplía los hallazgos ya adelantados por este diario sobre aquella operación detectada en 2019. Si en la información publicada por Economía Digital S2Grupo explicaba que el ataque se apoyó en una familia de implantes bautizada como EasterBunny y que los detalles no se habían revelado hasta ahora por “motivos de explotación de la inteligencia obtenida”, el documento difundido ahora añade que presenta, “después de varios años”, “un análisis técnico de los principales artefactos vinculados a aquella operación en la que nuestros equipos estuvieron implicados hace años”.

Entre las principales aportaciones de este nuevo informe, S2Grupo subraya que LAB52 ha realizado “por primera vez de forma pública” un “análisis exhaustivo” de EasterBunny, al que define como “uno de los artefactos de espionaje más avanzados atribuidos a APT29”. El documento también insiste en que se trata de un malware “de una sofisticación técnica excepcional y con una arquitectura operativa modular” y añade que la muestra forma parte de “una de las amenazas más sofisticadas y relevantes que S2Grupo ha estudiado hasta la fecha”.

El informe incorpora además más contexto sobre el alcance de la operación. S2Grupo explica que tuvo acceso a “un total de 10 artefactos diferentes de la familia EasterBunny” y remarca que se trataba de piezas “privadas”, es decir, no localizadas en VirusTotal ni en otras fuentes públicas consultadas. La compañía señala también que la campaña sorprendió a sus expertos “por su nivel de personalización: malware e infraestructura completamente personalizados para la víctima”, lo que hacía “inviable su detección mediante indicadores de compromiso convencionales”.

Una amenaza «real y persistente» para España

En la información que ya publicó este diario, S2Grupo ya advertía de que aquella actuación debía leerse en un contexto más amplio. El nuevo informe insiste en ello y cita al Departamento de Seguridad Nacional para sostener que “la principal amenaza es la actividad de los servicios de inteligencia de la Federación Rusa en suelo europeo” y que, “en lo referente a las amenazas híbridas, la Federación Rusa es, de nuevo, la principal fuente de amenaza”. A partir de ahí, LAB52 concluye que “el ciberespionaje se consolida como una amenaza real y persistente para nuestro país”.

El documento también detalla con mayor claridad cuál era la finalidad de este tipo de implantes. Según S2Grupo, EasterBunny perseguía dos objetivos principales. El primero era la “persistencia para la adquisición de inteligencia”, es decir, mantenerse dentro de la organización y seguir obteniendo información. El segundo era actuar como “puerta trasera operativa”, permitiendo a los operadores volver a introducir otras herramientas y módulos orientados a la exfiltración de datos, entre ellos “recolectores de ficheros, documentos o correos electrónicos”.

LAB52 añade que el “principal interés” de APT29 es “la obtención de inteligencia de organismos gubernamentales, no gubernamentales y Think Tanks de Europa, Asia Central y lo que se denomina los Cinco Ojos”, con especial foco en “Ministerios de Exteriores, delegaciones diplomáticas y organizaciones relacionadas con la defensa nacional”. El informe sostiene además que, cuando la víctima es de “especial interés a largo plazo”, el grupo “despliega un conjunto de implantes que le permiten persistir en la organización de forma silenciosa”.

APT29, grupo relacionado con la interferencia en las elecciones de EE.UU.

En la pieza ya publicada por este periódico, S2Grupo recordaba también el historial de APT29, al que diversas firmas de inteligencia han relacionado con la interferencia en las elecciones estadounidenses y con el caso SolarWinds, uno de los mayores compromisos informáticos atribuidos a este grupo.

El nuevo informe recupera parte de ese recorrido y señala que las primeras evidencias del grupo “se remontan a 2008, durante la segunda guerra de Chechenia”, mientras que en 2015 se le atribuyó “la interferencia en las elecciones estadounidense a través de la infiltración en el Partido Demócrata”. También recuerda que en 2020 sustrajo información confidencial sobre vacunas occidentales y que estuvo detrás de “uno de los mayores compromisos vistos hasta la fecha”, el de SolarWinds.

José Miguel Rosell, CEO y socio cofundador de S2Grupo, justifica la publicación del análisis en la necesidad de hacer visible la actividad del adversario. “Confiamos en que la información aquí expuesta contribuya a conocer mejor a APT29 y, especialmente, a revelar su modus operandi”, afirma. “Publicarla es un acto de defensa activa: hacer visible al adversario, limitar su libertad de acción y reforzar la resiliencia del ecosistema digital europeo”, añade.